СТАНОВИЩЕ
НА
КОМИСИЯТА ЗА ЗАЩИТА НА ЛИЧНИТЕ ДАННИ
рег. № П-5563/2013 г.
гр. София, 06.11.2013 г.
ОТНОСНО: Искане с вх. № П-5563/22.08.2013 г. от г-н Й.Г. – заместник-министър на вътрешните работи, относно правната възможност министърът на вътрешните работи да делегира своите правомощия в качеството си на администратор на лични данни на други длъжностни лица.
Комисията за защита на личните данни (КЗЛД) в състав: Председател: Венета Шопова и членове: Красимир Димитров, Валентин Енев, Мария Матева и Веселин Целков на заседание, проведено на 30-31.10.2013 г., разгледа преписка с вх. № П-5563/22.08.2013 г. от г-н Й.Г. – заместник-министър на вътрешните работи относно прилагането на чл. 163, ал. 1 във връзка с чл. 161, ал. 5 от Закона за МВР и правната възможност министърът на вътрешните работи да делегира своите правомощия в качеството си на администратор на лични данни на други длъжностни лица.
Съгласно разпоредбата на чл. 163, ал. 1 от ЗМВР администратор на лични данни по смисъла на Закона за защита на личните данни е министърът на вътрешните работи. В чл. 161, ал. 5 от ЗМВР е регламентирано правомощието на администратора на лични данни да се произнася по искането на дадено лице за достъп до негови лични данни, обработвани в информационните фондове на МВР. В писмото е посочена връзката на тези разпоредби с чл. 28, ал. 2 от ЗЗЛД и чл. 34, ал. 1 от ЗЗЛД.
Правомощията на министъра на вътрешните работи в тази насока са регламентирани в Инструкция № Iз 381/10.03.2009 г. за реда за обработка на лични данни в МВР, както следва:
– В чл. 7, ал. 1, т. 1 от Инструкция № Iз 381/10.03.2009 г. – актуализация на лични данни по искане на лицето, за което се отнасят;
– В чл. 10, ал. 1 от Инструкция № Iз 381/10.03.2009 г. – заличаване на информация, съдържаща лични данни, по искане на лицето.
С депозираното си искане от МВР молят за становище на основание чл. 10, ал. 1, т. 4 от ЗЗЛД, налице ли е правна възможност министърът на вътрешните работи да делегира своите правомощия, в качеството си на администратор на лични данни, на други длъжностни лица.
Правен анализ
Със Закона за защита на личните данни (ЗЗЛД) е прогласено правото на достъп на физическите лица до информацията за обработваните от даден администратор лични данни за тях. Съгласно чл. 28а от ЗЗЛД, физическото лице има право по всяко време да поиска от администратора да:
1. заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на този закон;
2. уведоми третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, извършено в съответствие с т. 1, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия.
Това право се осъществява с писмено заявление до администратора на лични данни. Заявлението се отправя лично от физическото лице или от изрично упълномощено от него лице чрез нотариално заверено пълномощно (чл. 29, ал. 3 от ЗЗЛД). Заявленията за достъп се завеждат в регистър от администратора.
Правомощията на администратора в това производство са разписани в чл. 31 – 34.
Администраторът на лични данни е длъжен да се съобрази с предпочитаната от заявителя форма на предоставяне на исканата информация. В случаите по чл. 28, ал. 1 (при осъществяване на правото на достъп) администраторът на лични данни или изрично оправомощено от него лице разглежда заявлението и се произнася в 14-дневен срок от неговото подаване (чл. 32, ал. 1 от ЗЗЛД). Подробен преглед на разпоредбите показва, че това е и единствената разпоредба в ЗЗЛД, която допуска изрично възможността администраторът на лични данни да делегира своите правомощия на друго лице. Всички останали задължения на администратора по закон, вкл. всички действия по разглеждане на подадени заявления за упражняване на другите права по Глава пета от ЗЗЛД се извършват единствено от администратора:
– Срокът за разглеждане на заявление за достъп може да бъде удължен от администратора.
– Администраторът взема решение за предоставянето на пълна или частична информация или мотивирано отказва предоставянето й в определения срок.
– В случаите по чл. 28а, т. 1 (когато лицето поиска от администраторът да заличи, коригира или блокира негови лични данни, обработването на които не отговаря на изискванията на този закон) администраторът взема решение и извършва съответното действие в 14-дневен срок от подаване на заявлението по чл. 29 или мотивирано отказва извършването му.
– В случаите по чл. 28а, т. 2 (когато лицето поиска от администраторът да уведоми третите лица, на които са били разкрити личните му данни, за всяко заличаване, коригиране или блокиране, извършено в съответствие с т. 1, с изключение на случаите, когато това е невъзможно или е свързано с прекомерни усилия) администраторът на лични данни взема решение в 14-дневен срок и незабавно уведомява третите лица или мотивирано отказва да извърши уведомяването.
Следва да се има предвид и факта, че за извършени нарушения по ЗЗЛД, вкл. при произнасяне по заявление на физически лица за упражняване на техни права, административнонаказателната отговорност се носи от администратора на лични данни.
Процедурата за обработване на лични данни в информационните фондове на МВР е регламентирана с Инструкция № Iз-381 от 10 март 2009 г. за реда за обработка на лични данни в Министерство на вътрешните работи. Този нормативен акт е издаден от МВР на основание чл. 163, ал. 2 от Закона за Министерството на вътрешните работи. Администратор на лични данни по смисъла на Закона за защита на личните данни е министърът на вътрешните работи, който възлага обработката на лични данни на определени от него длъжностни лица. Като администратор на лични данни, министърът на вътрешните работи попада в определението на чл. 3, ал. 2 от ЗЗЛД – администратор е физическо или юридическо лице, както и орган на държавната власт или на местното самоуправление, който обработва лични данни, видът на които, целите и средствата за обработване се определят със закон. В тези случаи администраторът или специфичните критерии за неговото определяне са нормативно уредени. В разглеждания случай обработването на лични данни е нормативно определено със ЗМВР и Инструкция № Iз-381 от 10 март 2009 г.
Съгласно чл. 7, ал. 1, т. 1 от Инструкция № Iз-381 от 10 март 2009 г., актуализация на лични данни се извършва по искане на лицето, за което се отнасят личните данни, когато то е установило, че е налице грешка или непълнота в тях, и удостовери това с документ. В текста на чл. 9 от същата инструкция са разписани начините, по които се извършва заличаването на информация, съдържаща лични данни като изрично са изредени документите, въз основа на които става това:
1. разпореждане на постоянната комисия към Народното събрание;
2. предписание на Комисията за защита на личните данни (КЗЛД);
3. акт на съда или прокуратурата;
4. установено по служебен път несъответствие между оригиналния документ и извършената обработка на данни във фонда;
5. искане на лицето, когато има законово основание за това;
6. отпадане на необходимостта от обработване на данните;
7. искане от органи или организации, предоставили личните данни, включително по силата на международен договор.
Инструкцията изрично подчертава в чл. 10, ал. 1, че в случаите на чл. 9, т. 5 (искане на лицето, когато има законово основание за това), заличаването се извършва въз основа на издадено от министъра на вътрешните работи решение.
Особено внимание в случая следва да се обърне и на факта, че при произнасянето на министъра на вътрешните работи по заявления на физически лица в качеството му на администратор на лични данни, той действа и като административен орган. Това придава на тези негови актове качеството на индивидуални административни актове. Те са важна форма на изпълнително-разпоредителната дейност, която притежава органа. Съгласно чл. 21, ал. 1 от Административнопроцесуалния кодекс (АПК), индивидуален административен акт е изричното волеизявление или изразеното с действие или бездействие волеизявление на административен орган или на друг овластен със закон за това орган или организация, с което се създават права или задължения или непосредствено се засягат права, свободи или законни интереси на отделни граждани или организации, както и отказът да се издаде такъв акт. Административният акт поражда правните си последици едностранно, вследствие само на волеизявлението на административния орган. Ето защо за да е законосъобразен един административен акт трябва да е издаден при спазване на всички посочени по-долу изисквания, взети заедно:
-да е издаден от компетентен орган, нормативно овластен да го издаде;
-да съответства на материалноправните изисквания, т. е. да е законосъобразен по същество, по своето предметно съдържание;
– да е издаден в съответната, нормативно предписана форма;
– да е издаден при спазване на установеното производство;
– да е в съответствие с целта на закона.
Същественото нарушение на което и да е от посочените условия, е достатъчно основание за отмяната на акта.
Административният акт трябва да е и правилен, целесъобразен, навременен, полезен, стопански ефективен, социално оправдан и т.н.Наред с останалите изисквания за издаването на един административен акт, той трябва да е издаден при правилно упражняване на оперативната самостоятелност или при наличието на обвързана компетентност.
Първото изискване за законосъобразност на административните актове е изискването за компетентност на автора на акта. Компетентността на административния орган включва обема, обсега от въпроси, които този орган е оправомощен да реши чрез издаването на административен акт. Тези въпроси не се определят произволно, а се съдържат в закона, който се прилага при издаването на този административен акт.
По принцип компетентността на административния орган може да произтича от:
– изрична нормативна разпоредба;
– да е следствие от функциите и задачите, които са му възложени на органа с нормативен акт;
– да е делегирана (прехвърлена) от по-горестоящ орган на базата на индивидуален акт, като такова прехвърляне трябва да е нормативно предвидено.
Особено внимание във връзка с разглеждания казус заслужава случаят, когато законът изрично и специално е натоварил един орган да упражнява конкретна функция. Тогава този орган не може свободно да възложи на някой свой подчинен орган или да овласти изобщо друг орган да я упражнява вместо него. Изключение от това правило може да има единствено, ако законов текст изрично предвижда хипотезата на делегиране.
Законосъобразността на делегирането включва:
-изричното нормативно овластяване като предпоставка за правната допустимост на делегирането на правомощия;
-делегирането да се извърши изрично и писмено с цел доказване;
-така оформеното делегиране следва да достигне като информация до адресата на акта.
Компетентността на държавния орган не е субективно право, а представлява едновременно правомощие и служебно задължение. Всяко нарушение на компетентността е основание за нищожността на издадения от органа акт. Административният и съдебният контрол за спазване правилата за компетентност на автора на административния акт е гаранция за адресатите.
В този смисъл е и Тълкувателно решение № 4 от 22.04.2004 г. по адм. д. № ТР-4/2002 г., ОСС на ВАС. Съгласно това тълкувателно решение „делегирането представлява възможност, предвидена в закона, временно – за определен случай или период от време, съгласно конкретната обстановка и преценката на горестоящ административен орган, той да предостави част от правомощията си на някой от подчинените му органи. Подчиненият орган издава административни актове въз основа на това специално овластяване от органа, в чиято компетентност поначало е решаването на съответния проблем. Той не запазва за постоянно делегираното правомощие. Обикновено делегацията е продиктувана от фактическата невъзможност по-горният орган да реагира своевременно на необходимостта от издаване на множество актове на територията на по-голям район или цялата страна.
Възможността за делегиране на административни правомощия се характеризира с няколко принципни ограничения: никой не може да делегира правомощия, които не притежава; не могат да бъдат делегирани правомощия, които законът определя като изрична компетентност на съответния орган; органът, на когото са делегирани правомощия, не може да ги предоставя другиму.”
В конкретния казус от значение е именно забраната за делегиране на правомощия, които законът определя като компетентност на съответния орган. Поради обстоятелството, че предметният закон – Законът за защита на личните данни- не е предвидил възможността за делегиране, респ. в специалния закон – Законът за МВР – също липсва такава правна възможност, може да се приеме, че правомощията на администратор са изрична негова компетентност и евентуално делегиране на всички или част от тях би било в нарушение на закона.
Във връзка с горното и на основание чл. 10, ал. 1, т. 4 от Закона за защита на личните данни, Комисията за защита на лични данни изразява следното
СТАНОВИЩЕ:
В Закона за защита на личните данни липсва изрична законова възможност администраторът на лични данни да делегира свои правомощия на друго лице. Като специален закон – Закона за министерството на вътрешните работи – също не е предвидил правна възможност министърът да делегира свои правомощия в качеството си на администратор.
При разглеждане на заявления на физически лица министърът на вътрешните работи се произнася в качеството, както на администратор на лични данни, така и на административен орган с властнически правомощия. С оглед опасността, в случай на делегиране на правомощия, актът да се окаже нищожен поради липса на компетентност на органа, който го е издал, не би следвало правомощията на администратор да бъдат делегирани на друго длъжностно лице.
| ПРЕДСЕДАТЕЛ: | ЧЛЕНОВЕ: |
|
Венета Шопова /п/ |
Красимир Димитров /п/ |
